Hola
Tengo un FG60B (MR2 Patch 2 build0291) y levanto el tunnel correctamente contra un Juniper SSG520. El problema esta que no logro ver ningun equipo detras del Juniper y ellos tampoco logran ver ningun equipo detras del FG60B. Solo podemos hacernos ping a las interfaces de cada Firewall.
Ya probe configurando la VPN basado en politica, basado en rutas, sin embargo el problema es el mismo. Verifique que la politica creada para la VPN este en la primera ubicación de la lista de políticas, para descartar temas de que otra regla este solapando la VPN. Luego cree una regla any any accept, y aun asi continua el problema.
Cree rutas hacia las redes que deberia ver de ellos, mandando los paquetes por la interfaz que se conecta con ellos. La verdad no se que mas probar.
Haciendo un debug del flujo de paquetes de la ip del Juniper, me sale el siguiente error:
FGT60B3907515405 # id=36870 trace_id=731 msg="vd-root received a packet(proto=50, x.x.x.46:0->y.y.y.251:0) from wan1."
id=36870 trace_id=732 msg="vd-root received a packet(proto=1, x.x.x.46:1024->y.y.y.251:8) from wan1."
id=36870 trace_id=732 msg="Find an existing session, id-000000a3, original direction"
id=36870 trace_id=733 msg="vd-root received a packet(proto=1, y.y.y.251:1024->x.x.x.46:0) from local."
id=36870 trace_id=733 msg="Find an existing session, id-000000a3, reply direction"
id=36870 trace_id=733 msg="enter IPsec tunnel-SigmaLPZCotes"
id=36870 trace_id=733 msg="No matching IPsec selector, drop"
Si alguien tuviese una idea de como solucionar este problema, lo agradeceria mucho.
Saludos
problemas de configuracion VPN
Re: problemas de configuracion VPN
Les comento que borre toda la configuracion del FG60B, y volvi a crear solamente la VPN tanto en policy mode o routed policy, y la VPN sube sin ningupercance, sin emabrgo el problema de que no podamos vernos entre los equipos detras de cada FW continua.
Pego la configuracion para ver si encuentra algo que este demas o falte.
config system interface
edit "wan1"
set vdom "root"
set ip x.x.x.251 255.255.255.128
set allowaccess ping https ssh
set type physical
next
edit "internal"
set vdom "root"
set ip 192.168.14.10 255.255.255.0
set allowaccess ping https ssh http
set dns-query recursive
set type physical
next
end
config firewall address
edit "Red_14"
set associated-interface "internal"
set subnet 192.168.14.0 255.255.255.0
next
edit "Red_Cotes_VPN"
set associated-interface "wan1"
set subnet 192.168.200.0 255.255.255.0
next
end
config vpn ipsec phase1
edit "ToCotes"
set interface "wan1"
set dpd disable
set nattraversal disable
set dhgrp 2
set proposal 3des-sha1
set remote-gw y.y.y.24
set psksecret ENC /4kCIPFjLlOsVidw+ej2T4BT0SYTrE/pso5Rh
next
end
config vpn ipsec phase2
edit "Tunel_Cotes_VPN"
set keepalive enable
set phase1name "ToCotes"
set proposal 3des-sha1
set dhgrp 2
set dst-subnet 192.168.200.0 255.255.255.0
set keylifeseconds 3600
set src-subnet 192.168.14.0 255.255.255.0
next
end
config firewall policy
edit 2
set srcintf "internal"
set dstintf "wan1"
set srcaddr "Red_14"
set dstaddr "Red_Cotes_VPN"
set action ipsec
set schedule "always"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "ToCotes"
next
edit 3
set srcintf "internal"
set dstintf "wan1"
set srcaddr "Red_14"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
end
config router static
edit 1
set device "wan1"
set gateway x.x.x.x
next
edit 2
set device "wan1"
set distance 5
set dst 192.168.200.0 255.255.255.0
set gateway x.x.x.x
next
edit 3
set device "wan1"
set distance 5
set dst 190.129.118.24 255.255.255.255
set gateway x.x.x.x
next
end
Saludos
Quino
Pego la configuracion para ver si encuentra algo que este demas o falte.
config system interface
edit "wan1"
set vdom "root"
set ip x.x.x.251 255.255.255.128
set allowaccess ping https ssh
set type physical
next
edit "internal"
set vdom "root"
set ip 192.168.14.10 255.255.255.0
set allowaccess ping https ssh http
set dns-query recursive
set type physical
next
end
config firewall address
edit "Red_14"
set associated-interface "internal"
set subnet 192.168.14.0 255.255.255.0
next
edit "Red_Cotes_VPN"
set associated-interface "wan1"
set subnet 192.168.200.0 255.255.255.0
next
end
config vpn ipsec phase1
edit "ToCotes"
set interface "wan1"
set dpd disable
set nattraversal disable
set dhgrp 2
set proposal 3des-sha1
set remote-gw y.y.y.24
set psksecret ENC /4kCIPFjLlOsVidw+ej2T4BT0SYTrE/pso5Rh
next
end
config vpn ipsec phase2
edit "Tunel_Cotes_VPN"
set keepalive enable
set phase1name "ToCotes"
set proposal 3des-sha1
set dhgrp 2
set dst-subnet 192.168.200.0 255.255.255.0
set keylifeseconds 3600
set src-subnet 192.168.14.0 255.255.255.0
next
end
config firewall policy
edit 2
set srcintf "internal"
set dstintf "wan1"
set srcaddr "Red_14"
set dstaddr "Red_Cotes_VPN"
set action ipsec
set schedule "always"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "ToCotes"
next
edit 3
set srcintf "internal"
set dstintf "wan1"
set srcaddr "Red_14"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
end
config router static
edit 1
set device "wan1"
set gateway x.x.x.x
next
edit 2
set device "wan1"
set distance 5
set dst 192.168.200.0 255.255.255.0
set gateway x.x.x.x
next
edit 3
set device "wan1"
set distance 5
set dst 190.129.118.24 255.255.255.255
set gateway x.x.x.x
next
end
Saludos
Quino
Re: problemas de configuracion VPN
Hola, si la vpn la haces en modo policy como la hiciste no necesita ruta con el destino la red remota.
y revsia los selectores en los dos extremos que sean correctos.
saludos
y revsia los selectores en los dos extremos que sean correctos.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: problemas de configuracion VPN
Hola
El problema estaba en la configuracion del Juniper, los paquetes cuando salian del Juniper salian con la IP wan del Juniper y no con la IP origen del PC. Por ende al no aplicar con la politica creada, el fortigate rechazaba el paquete.
Saludos
Quiño
El problema estaba en la configuracion del Juniper, los paquetes cuando salian del Juniper salian con la IP wan del Juniper y no con la IP origen del PC. Por ende al no aplicar con la politica creada, el fortigate rechazaba el paquete.
Saludos
Quiño